skip to Main Content
evaluación y tratamiento de riesgos

ISO 27001: Evaluación y tratamiento de riesgos en 6 pasos

evaluación y tratamiento de riesgos

ISO 27001

Como ya hemos comentado en artículos anteriores como en “¿En qué consiste la norma ISO 27001?”, la norma ISO 27001 sienta las bases en materia de seguridad de la información en las organizaciones.

Una de las áreas dentro de esta norma, que implica mayor complejidad de aplicación, es la correspondiente a la evaluación y tratamiento de riesgos.

Sin embargo, al mismo tiempo, es justamente esta parte de la norma la de mayor importancia a la hora de poner en marcha el mecanismo de seguridad de la información en la organización.

Esta parte de la norma es la más importante porque es la parte en la que se desarrolla la filosofía principal de la ISO 27001. Esta filosofía consiste en analizar los incidentes que se pudieran producir y posteriormente buscar las posibles soluciones para tratar de que los mismos no se repitan.

Dada la complejidad que supone la evaluación y tratamiento de riesgos, vamos a tratar a continuación de ofrecer un poco de claridad sobre qué hacer en 6 pasos para tal gestión de riesgos:

CTA 27001 EBOOK BOTON

Descarga gratis e-book: La norma ISO 27001

 

Evaluación y tratamiento de riesgos en ISO 27001

1.- Metodología para la evaluación de riesgos

El primer paso para llevar a cabo un proceso de gestión del riesgo en una organización es definir la metodología que se va a seguir. El objetivo de este primer paso es hacer que todas las partes de la entidad conozcan tal metodología y la gestión del riesgo se haga de manera homogénea en todas las áreas. Esto implica definir si la evaluación de los riesgos se va a hacer de manera cualitativa o cuantitativa. En caso de hacerlo de la primera forma, hay que definir entonces también la escala a utilizar, así como los niveles a partir de los cuales se consideran unos riesgos como aceptable.

Respecto a la clasificación de los riesgos, podemos encontrar más información en el siguiente artículo “ISO 27001: Clasificación de los incidentes”.

2- Implementación de la evaluación de riesgos

Tras el paso anterior, es hora de iniciar el análisis de los posibles problemas que podrían surgir en la organización. Para realizar esta evaluación se debe contabilizar todos los activos que la misma posee, así como las amenazas y debilidades a las que se enfrenta, para a continuación, poder calcular la probabilidad de que suceda cada una de las posibles combinaciones de activos-amenazas- debilidad. Una vez realizado esto, podemos conocer el nivel de riesgo al que se enfrenta cada entidad en concreto.

De media, las organizaciones tan solo son conscientes de aproximadamente un 30% del riesgo al que se enfrentan, por lo que, a partir de este paso, pueden llegar a conocer hasta un 70% del riesgo del que no son conocedores.

3.- Implementar el tratamiento de riesgos

Una vez evaluados todos los riesgos posibles, es momento de buscar un tratamiento de los mismos.

Evidentemente, todos los riesgos no tienen el mismo nivel de gravedad. Por esta razón, y dado que sería demasiado costoso buscar un tratamiento para todos y cada uno de ellos, nos centraremos en los más importantes, es decir, aquellos que se definen como “riesgos inaceptables”.

En el tratamiento de riesgos, podemos enumerar cuatro opciones de cara a poder eliminarlos:

  1. Implementar los controles de seguridad que recoge el Anexo A de la norma ISO 27001.
  2. Transferir el riesgo. Esto podría ser, por ejemplo, cuando contratamos una póliza de seguro y transferimos el riesgo a la compañía de seguros que nos la ha vendido.
  3. Evitar el riesgo. Esto se puede conseguir paralizando aquella actividad que supone demasiado nivel de riesgo o haciéndola de una manera diferente.
  4. Aceptar el riesgo en cuestión. Esta opción sería para aquellos casos en lo que el coste de eliminar el riesgo es mayor que el daño que causará.

Este paso reflejará la mayor o menor capacidad de la organización para ser creativa, pues, lo óptimo y eficiente es lograr la mayor reducción posible de riesgos con una inversión lo menor posible.

4.- Informe de Evaluación de Riesgos

En este paso vamos a documentar todo el análisis realizado en los pasos anteriores, así como los tratamientos que la organización haya considerado más adecuado aplicar.

5.- Elaboración del documento de “Declaración de aplicabilidad”.

La elaboración del documento de Declaración de aplicabilidad de la norma ISO 27001  pone de manifiesto el perfil de seguridad adoptado por la organización en cuestión. Aquí se especifican los resultados obtenidos de los tratamientos contra los riesgos.

Además, es un documento que también es importante para el auditor de certificación.

Sobre la importancia de la elaboración de este paso podéis aprender más en el siguiente artículo “La importancia de la Declaración de Aplicabilidad en un SGSI”.

6.- Plan de tratamiento del riesgo

Llegados a este punto, es necesario pasar a la práctica, es decir, vamos a traspasar toda la teoría anterior a la práctica mostrando resultados concretos.

La elaboración del llamado “Plan de tratamiento del riesgo” tiene como objetivo detallar las cosas que va a poner en marcha cada uno de los controles aprobados, el periodo de tiempo en el que se van a aplicar, así como el presupuesto que va a suponer.

Este plan necesita tener la aprobación por parte de la Dirección de la organización, ya que la puesta en marcha de todos los controles decididos conlleva unos gastos.

En resumen, con este artículo hemos querido sistematizar los pasos a seguir de cara a configurar en nuestra organización un Sistema de Seguridad de la Información según la ISO 27001 y realizar la evaluación y tratamiento de riesgos. 

Más información sobre los beneficios que aporta a las entidades contar con un Sistema de Seguridad de la Información de acuerdo a la norma ISO 27001 podéis encontrarla en “Norma ISO 27001: beneficios prácticos para tu empresa”.

ISOTools a través de su plataforma tecnológica, permite a las organizaciones automatizar su Sistema de Gestión de la Seguridad de la Información y ayudar con ello a pasar con éxito el proceso de certificación y mantenimiento del SGI.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Back To Top